مقدمه
گوگل یک بهروزرسانی امنیتی اضطراری را برای رفع اولین آسیبپذیری روز صفر در مرورگر کروم که از ابتدای سال در حملات مورد سوء استفاده قرار گرفته است، منتشر کرده است.
جزئیات آسیبپذیری
این آسیبپذیری که با شناسه CVE-2023-2033 و درجه اهمیت بالا ردیابی میشود، توسط Clement Lecigne از گروه تحلیل تهدیدات گوگل (TAG) گزارش شده است و یک نقص Type confusion در موتور جاوااسکریپت کروم V8 است. در این آسیبپذیری، مهاجم از راه دور میتواند به طور بالقوه از تخریب حافظه heap از طریق یک صفحه HTML ساختگی، بهرهبرداری کند.
این نقص عموماً به مهاجمان اجازه میدهد تا با خواندن یا نوشتن حافظه خارج از محدوده بافر، مرورگر را پس از کار افتادن در نتیجه یک اکسپلویت موفقیتآمیز، مجدداً راهاندازی کنند، و از آن برای اجرای کد دلخواه در دستگاههای در معرض خطر سوء استفاده کنند.
محصولات تحت تأثیر
مرورگر گوگل کروم قبل از نسخه 112.0.5615.121 تحت تآثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت نسبت به بروزرسانی مرورگر خود به نسخه 112.0.5615.121 در سیستمهای ویندوز، لینوکس و Mac اقدام نمایند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه میشود که به محض انتشار نسخه وصله شده آن را اعمال کنند. این بروزرسانی به کاربران کمک میکند که تا زمان انتشار جزئیات فنی این آسیبپذیری، حملات را مسدود کرده و مانع از توسعه اکسپویتهای بیشتر مهاجمان شوند.
منابع خبر
[2] https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
- 166